xff
*：

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

简单地说，xff是告诉服务器当前请求者的最终ip的http请求头字段
通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip

Referer
*：

HTTP来源地址（referer，或HTTPreferer）
是HTTP表头的一个字段，用来表示从哪儿链接到当前的网页，采用的格式是URL。换句话说，借着HTTP来源地址，当前的网页可以检查访客从哪里而来，这也常被用来对付伪造的跨网站请求。

简单的讲，referer就是告诉服务器当前访问者是从哪个url地址跳转到自己的，跟xff一样，referer也可直接修改

于是用brup抓包，在http头加一条X-Forwarded-For: 123.123.123.123
发送请求
在响应中看到必须来自谷歌

 

 

于是再次增加一条Referer: https://www.google.com
再次发送请求，在响应中得到flag!